Mozilla и Microsoft премахват основния • регистър за сертифициране

Mozilla и Microsoft предприеха действия срещу сертифициращ орган, обвинен в тесни връзки с американски военен изпълнител, за който се твърди, че е платил на разработчиците на софтуер да включат злонамерен софтуер за събиране на данни в мобилни приложения.

CA, TrustCor, отрича това, но не отговори на директни въпроси по време на публикуването.

След продължителна дискусия между служители на Mozilla и Apple, изследователи по сигурността и самия CA, програмният мениджър на Mozilla Катлийн Уилсън Той каза, че опасенията на организацията са достатъчно „доказани“, за да се определи дата за недоверие 30 ноември за основните сертификати на TrustCor.

Назад и напред е направено в пощенския списък на Mozilla’s Development Security Policy (MDSP) и можете да прочетете пълната дискусия там. Microsoft не участва в разговора. Вместо това изпълнителният директор на TrustCor Рейчъл Макферсън заяви, че Microsoft е определила дата за недоверие на 1 ноември за сертификатите на своята компания.

„Майкрософт не ни уведоми предварително за това решение“, каза Макферсън Той каза.

„Никога не сме били обвинявани и няма доказателства, които да подсказват, че TrustCor е нарушил поведение, политика или процедура, фалшиво е издал доверени сертификати или е работил с други за това. Ние не сме направили нито едно от тези неща.“

В своите коментари Apple заяви, че е съгласна с мнението на други коментиращи и че констатациите „оставят разумно съмнение относно… [TrustCor’s] Способността да действате като общодоверен сертифициращ орган.

Към момента на писане на това издание сертификатите TrustCor все още се появяват в списъка на Apple Доверени основни сертификатии не е ясно дали iMaker планира да предприеме собствени действия.

Анатомия на срива на доверието

Целият проблем с TrustCor се връща към в началото на тази годинакогато професорът от университета в Калгари и съосновател на AppCensus Джоел Риърдън откри злонамерен софтуер за събиране на данни в пакет от приложения за Android, които са били изтеглени повече от 46 милиона пъти.

Заразените приложения включват радар за камера за скорост, приложения за ислямска молитва, QR скенер, приложение за времето и др.

Според Риърдън базираната в Панама Measurement Systems е компанията, разработила кода. В Wall Street Journal В доклад за констатациите на Риърдън се твърди, че са открити връзки между Measurement Systems и отбранителен изпълнител от Вирджиния, който извършва киберразузнаване, мрежова защита и прихващане на разузнавателна работа за правителството на Съединените щати.

Приложенията бяха изтеглени, въпреки че някои се върнаха в Google Play с премахната обидна икона.

Изстрел на Риърдън по-нататъшно обсъждане на mozilla.dev.security.policy на 8 ноември, където той и Серж Игълман от Калифорнийския университет, Бъркли, съобщават за тяхното копаене в измервателните системи.

За всеки от съпрузите уебсайтът на Measurement Systems е регистриран от Vostrom Holdings, която работи като Packet Forensics, а Риърдън каза, че продава законни продукти за прихващане на правителствени агенции.

Measurement Systems и TrustCor са регистрирани в Панама, регистрирани само за един месец и имат една и съща група корпоративни служители, каза Риърдън.

Двойката също така проучи криптирана имейл услуга, управлявана от TrustCor, наречена Msgsafe, която според тях изпраща имейл в обикновен текст през TLS. Риърдън каза, че „не е убеден, че съществува E2E криптиране или че Msgsafe не може да чете имейлите на потребителите“.

Риърдън твърди, че няма „никакви доказателства, че Trustcor е направил нещо нередно“ или „не е имал нищо друго освен усърден компетентен сертифициращ орган“.

Той обаче добави: „Ако Trustcor беше просто услуга за електронна поща, която представя погрешно твърденията си за E2E криптиране и има някакви връзки с легитимни изпълнители на отбраната, които да прихваща, не бих изразил никакви притеснения на това място. Но тъй като това е основен сертификат за милиарди на устройства – включително моето – смятам, че е разумно да получа обяснение“, Риърдън Той каза на общата дискусионна дъска.

Незадоволителни отговори

TrustCor McPherson се опита да отговори на въпроси, зададени от Mozilla и други по темата, но въпреки че настоя, че информацията на Риърдън е остаряла и че Trustcor и Packet Forensics нямат текущи бизнес отношения, властите не бяха убедени.

Коментарите в дискусионната нишка изглеждат по-малко заинтересовани от предполагаемите връзки и по-загрижени от факта, че TrustCor не може да предостави задоволителни отговори.

Експертът по криптография Филипо Валсорда каза: „Първоначалните опасения, освен възможните връзки с операцията на шпионския софтуер, не бяха причина да не ми се доверявате. Въпреки това начинът, по който CA се справи с обвиненията, не ми остави никакво доверие в техните операции.“

Други изразиха същото мнение, като казаха, че отговорите на Макферсън не са достатъчни за една компания Точно толкова мощност онлайн, колкото и сертифициращ орган.

„Нашата оценка е, че опасенията относно TrustCor са обосновани и че рисковете от продължаване на членството на TrustCor в основната програма на Mozilla надвишават ползите за крайните потребители“, каза Уилсън от Mozilla.

Свързахме се с TrustCor, за да разберем какво планира да направи, но все още не сме получили отговор. ®